Die Sache mit Firejail und "als systemverwalter"

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Die Sache mit Firejail und "als systemverwalter"

Beitrag von Animefreak79 » 19.07.2018 17:09:46

Hallo Leute,

ich hatte ja schon im Thread mit dem Thema X als root bzw X als normaler Benutzer erwähnt, dass bei mir sowohl Debianthunderbird als auch Debianfirefox-esr im Titelfenster "als Systemverwalter" stehen haben, wenn sie unter MATE laufen... Dann wurde ich von detix auf die Idee gebracht, dass dies durch die Ausführung mittels Debianfirejail kommen könnte... Ich dies also ausprobiert und besagte Programme ohne Debianfirejail laufen lassen... Und tatsächlich, im Fenster steht nichts mehr von wegen Systemverwalter, Blah und Blubb... Allerdings möchte ich diese Programme schon gerne in der Sandbox laufen lassen. Wenn ich jetzt beispielsweise Debianthunderbird am Laufen hab mittel Debianfirejail habe ich allerings mal getestet, ob dieses Sandboxtool als root läuft:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps -augx | grep firejail
shinji    1416  0.0  0.0  18376  2452 tty1     S    16:15   0:00 firejail /usr/bin/chromium
shinji    1419  0.0  0.0  18376  2360 tty1     S    16:15   0:00 firejail /usr/bin/chromium
shinji    2316  0.0  0.0  18376  2452 tty1     S    16:57   0:00 firejail /usr/bin/thunderbird
shinji    2320  0.2  0.0  18384  2320 tty1     S    16:57   0:00 firejail /usr/bin/thunderbird
shinji    2448  0.0  0.0  12784   948 pts/0    S+   16:57   0:00 grep firejail
shinji@nerv-kommandozentrale:~$
Wie ich es mir gedacht habe, die Firejail-Prozesse laufen mit Nichten als root. Ich also wie ein Irrer im Netz rumgeschwirrt um weitere Informationen zu bekommen und dabei auf folgenden Thread bei github gestoßen: https://github.com/netblue30/firejail/issues/258
Ganz offensichtlich bin ich also nicht der Einzige, dem es in Sachen Debianfirejail so geht, allerdings deutet alles was man in diesem Thread so liest, mehr oder weniger daraufhin, dass keine wirkliche Gefahr besteht und die Prozesse auch nicht wirklich als root laufen. Möglicherweise scheint eine Variable mit dem treffenden Bezeichner _NET_WM_PID dafür verantwortlich zu sein, ob das Fenster jetzt "als Systemverwalter" angezeigt wird und dessen Wert stimmt dadurch, dass der Prozess durch Debianfirejail gestartet wurde, nicht mit den Tatsachen überein... Vereinfacht gesagt... Bin jetzt zu müde, bei der Hitze, aber es scheint wohl auf jeden Fall vom Fenstermanager abzuhängen. Demzufolge gehe ich jetzt einfach mal davon aus, dass keine Gefahr besteht. Trotzdem würde es mich mal interessieren, ob der ein oder andere hier schon mit demselben Vorkomniss (oder ähnlichen Vorkommnissen) zu tun gehabt hat.
~ Never change a flying system ~

Antworten